Abstract
L’Intelligenza artificiale non è più una tecnologia emergente, ma una componente strutturale dei processi decisionali, produttivi e professionali. Con la Legge 23 settembre 2025, n. 132, l’Italia è intervenuto per gestirne gli effetti più immediati, collocandosi nel solco del Regolamento europeo sull’Intelligenza artificiale (AI Act) ma introducendo scelte nazionali mirate. L’articolo analizza i principi ispiratori della nuova disciplina, il primato della decisione umana nei settori sensibili, le nuove responsabilità penali legate all’uso dell’IA, le regole sul diritto d’autore e i nodi ancora aperti in materia di privacy, tutela dei minori e addestramento dei sistemi. Ne emerge un quadro normativo ambizioso ma ancora in evoluzione, che tenta di bilanciare innovazione tecnologica e tutela dei diritti fondamentali, affidando alla prassi applicativa la verifica della sua reale tenuta.
Perché l’Italia ha sentito il bisogno di una legge nazionale sull’IA?
La Legge italiana n. 132/2025 nasce da una scelta politica e giuridica precisa: non limitarsi ad applicare il Regolamento (UE) 2024/1689 sull’Intelligenza artificiale (AI Act), ma accompagnarlo con una disciplina nazionale capace di incidere subito su settori in cui l’uso dell’IA produce effetti concreti sui diritti delle persone. L’AI Act, infatti, pur essendo un regolamento direttamente applicabile, non esaurisce la regolazione di tutte le implicazioni giuridiche dell’IA, soprattutto quando entrano in gioco ambiti tradizionalmente riservati agli Stati membri.
Il regolamento europeo si muove su un piano sistemico: definisce cosa sia un sistema di IA, classifica i livelli di rischio, stabilisce obblighi per fornitori e utilizzatori e costruisce una governance comune. Ma lascia deliberatamente fuori molte questioni che attengono al cuore degli ordinamenti nazionali, come il diritto penale, la responsabilità civile, l’organizzazione della giustizia, la sanità, il lavoro e la tutela della personalità. Questo non è un vuoto normativo accidentale, ma una conseguenza della ripartizione delle competenze nell’Unione europea.
In questo senso, la Legge 132/2025 non deroga all’AI Act e non lo “corregge”, ma opera negli spazi che il regolamento non disciplina in modo completo. Lo stesso AI Act chiarisce, all’articolo 2, che esso non pregiudica l’applicazione di altre normative dell’Unione, come il GDPR, né impedisce agli Stati membri di mantenere o introdurre disposizioni più favorevoli in specifici ambiti, in particolare a tutela dei lavoratori. È su questa base che il legislatore italiano interviene, traducendo i principi europei in regole immediatamente operative nel contesto nazionale.
Il nucleo ideologico della legge italiana è l’adozione esplicita di un approccio antropocentrico. L’Intelligenza artificiale viene inquadrata come tecnologia ad alto impatto sociale, la cui diffusione deve avvenire nel rispetto della dignità umana, dei diritti fondamentali e del principio di responsabilità personale, sanciti dagli articoli 2 e 3 della Costituzione. Non è un richiamo retorico: è il criterio interpretativo che giustifica l’intervento dello Stato in settori dove delegare decisioni a sistemi automatici rischierebbe di alterare equilibri giuridici consolidati.
Per imprese e professionisti, questo significa una cosa molto concreta: la conformità all’AI Act non è sufficiente di per sé. La Legge 132/2025 introduce un livello ulteriore di regole, pensate per incidere direttamente sull’uso quotidiano dell’IA in Italia. È una normativa che anticipa conflitti, chiarisce responsabilità e tenta di evitare che l’innovazione tecnologica si sviluppi in assenza di presidi giuridici adeguati. Ed è proprio su questo presupposto che la legge afferma, con forza, il principio destinato a orientare tutta la disciplina: l’IA può supportare l’uomo, ma non può sostituirlo nelle decisioni che contano.
L’IA può decidere al posto dell’uomo?
La risposta della Legge 132/2025 è netta: no, l’Intelligenza artificiale non può mai sostituire la decisione umana. Non si tratta di una formula di principio, ma di una scelta normativa consapevole, che attraversa i settori considerati più delicati per l’equilibrio tra tecnologia e diritti fondamentali. Il legislatore parte da un presupposto semplice: decidere significa assumersi una responsabilità, e la responsabilità, nel nostro ordinamento, resta sempre imputabile a una persona.
In sanità, la legge chiarisce che i sistemi di IA possono essere utilizzati per supportare attività di diagnosi, prevenzione e cura, ma la decisione clinica finale resta in capo al medico. Questo assetto è coerente con l’articolo 22 del GDPR (Regolamento UE 2016/679), che riconosce all’interessato il diritto di non essere sottoposto a decisioni basate unicamente su trattamenti automatizzati quando producono effetti giuridici o incidono in modo analogo significativamente sulla persona. Anche nei casi in cui il trattamento automatizzato sia ammesso, il GDPR richiede comunque un intervento umano effettivo, confermando che la valutazione finale non può essere delegata integralmente a un sistema automatico.
Lo stesso schema si ritrova nel campo della giustizia. La legge esclude che l’IA possa sostituire il magistrato nell’interpretazione e nell’applicazione della legge. Anche quando utilizzata per analisi predittive, gestione dei flussi procedimentali o supporto alla redazione di atti, l’IA deve restare uno strumento ausiliario. Il principio si collega direttamente all’articolo 101 della Costituzione, secondo cui i giudici sono soggetti soltanto alla legge, e non a modelli statistici o sistemi decisionali opachi.
Nel mondo del lavoro, l’impostazione è più flessibile ma non meno chiara. L’istituzione di un Osservatorio nazionale sull’Intelligenza artificiale serve a monitorare l’impatto dei sistemi automatizzati su occupazione, organizzazione del lavoro e diritti dei lavoratori. La logica sottesa è che l’efficienza produttiva non giustifica l’automatizzazione delle decisioni che incidono in modo diretto sulla posizione del lavoratore, come assunzioni, valutazioni, progressioni o cessazioni del rapporto, senza un controllo umano reale e consapevole.
Per imprese e professionisti, questo capitolo della legge pone una domanda inevitabile: chi prende davvero la decisione quando entra in gioco un sistema di IA? Se la risposta è “la macchina”, il rischio giuridico è già presente. La Legge 132/2025 impone di progettare, acquistare e utilizzare sistemi di IA in modo tale che la catena decisionale resti umana, comprensibile e imputabile, perché solo così la tecnologia può restare un alleato e non trasformarsi in un fattore di deresponsabilizzazione.
Deepfake, reati e diritto d’autore: come cambia la responsabilità
Come già analizzato nell’articolo “Dal plagio al rischio di manipolazione del pubblico: i “deep fake” (di A. Canella per Canella Camaiora), i deepfake non nascono come fenomeno improvviso né esclusivamente tecnologico. Sono il punto di arrivo di una lunga evoluzione della manipolazione dell’immagine e dell’informazione, che dall’imitazione e dal plagio tradizionale è approdata a forme di alterazione digitale sempre più convincenti e difficilmente riconoscibili dal pubblico. È proprio questo salto di qualità che ha imposto al legislatore un cambio di passo (sullo stesso argomento, v. anche “Deepfake: la nuova sfida all’identità personale” di J. Persico Brito per Canella Camaiora).
Uno dei passaggi più incisivi della Legge 23 settembre 2025, n. 132 è l’intervento diretto sul diritto penale, segnale evidente che il legislatore non considera l’Intelligenza artificiale un tema esclusivamente tecnologico o industriale, ma un fattore capace di incidere sulla sicurezza giuridica delle persone.
Il fulcro dell’intervento è contenuto nell’articolo 26 della legge, che modifica l’articolo 61 del codice penale, inserendo una nuova circostanza aggravante comune. In base al nuovo numero 11-undecies, l’avere commesso un reato mediante l’impiego di sistemi di intelligenza artificiale costituisce aggravante quando tali sistemi, per la loro natura o per le modalità di utilizzo, abbiano rappresentato un mezzo insidioso, abbiano ostacolato la pubblica o la privata difesa, oppure abbiano aggravato le conseguenze del reato. Insomma, l’uso dell’IA non attenua la responsabilità penale, ma può renderla più grave.
Accanto all’aggravante comune, la legge introduce una nuova fattispecie autonoma di reato: l’illecita diffusione di contenuti generati o alterati con sistemi di intelligenza artificiale. Il nuovo articolo 612-quater c.p., sempre inserito dall’articolo 26 della legge, punisce chi cagiona un danno ingiusto cedendo, pubblicando o diffondendo, senza consenso, immagini, video o voci falsificati o manipolati mediante IA, quando siano idonei a indurre in inganno sulla loro genuinità. È la risposta più netta al fenomeno dei deepfake, che esce così definitivamente da ogni zona grigia.
Sul piano civilistico e creativo, la legge interviene anche in materia di diritto d’autore. Viene ribadito che la tutela resta riservata alle opere dell’ingegno di origine umana, ma si chiarisce che le opere realizzate con l’ausilio dell’IA sono protette quando il risultato finale costituisce espressione di un lavoro intellettuale riconducibile a una persona. L’IA è quindi ammessa come strumento, ma non come autore. Parallelamente, viene affrontato il tema dell’addestramento dei modelli: la riproduzione di opere per finalità di text and data mining è consentita, purché nel rispetto delle eccezioni previste dalla legge sul diritto d’autore e con la possibilità, per i titolari dei diritti, di esercitare meccanismi di opt-out.
Per imprese e professionisti, questo capitolo della legge impone una presa di coscienza netta: l’IA amplifica la responsabilità di chi la utilizza. Se un contenuto generato o manipolato da un sistema automatico viola la legge, non è la tecnologia a risponderne, ma chi l’ha impiegata, diffusa o sfruttata. Ed è proprio su questo equilibrio tra controllo pubblico, incentivi economici e tutela dei diritti che si gioca l’ultima parte della disciplina.
Una legge già in vigore, ma ancora incompleta
La Legge 132/2025 è una legge operativa, ma non definitiva. Il legislatore lo ammette implicitamente quando affida a futuri decreti legislativi una parte rilevante dell’architettura normativa: dal regime delle sanzioni amministrative, alla responsabilità civile per danni causati da sistemi di IA, fino alla disciplina dettagliata dell’addestramento dei modelli, soprattutto quando coinvolge dati personali. È un vero e proprio cantiere normativo, che rende necessario per imprese e professionisti adottare un atteggiamento prudente e progressivo.
Nel frattempo, la legge individua con precisione le autorità nazionali competenti. L’Agenzia per la Cybersicurezza Nazionale (ACN) è designata come autorità di vigilanza sul mercato e come punto di contatto unico con l’Unione europea, in coerenza con il sistema di governance previsto dall’AI Act. All’Agenzia per l’Italia Digitale (AgID) spetta invece il ruolo di autorità di notifica. Non si tratta di competenze solo formali: significa che controlli, ispezioni e richieste di adeguamento potranno arrivare direttamente a fornitori e utilizzatori di sistemi di IA operanti in Italia.
Accanto ai controlli, il legislatore affianca una politica di sostegno economico. La legge prevede uno stanziamento fino a un miliardo di euro in strumenti di equity e quasi-equity a favore di imprese attive nei settori dell’IA, della cybersicurezza e del calcolo quantistico. È una scelta che rivela una doppia anima della norma: da un lato contenere i rischi, dall’altro rafforzare la competitività tecnologica nazionale, evitando che le regole diventino un freno allo sviluppo.
Accanto al presidio regolatorio, il legislatore affianca una chiara politica di sostegno economico. L’articolo 23 della legge autorizza investimenti fino a un miliardo di euro in equity e quasi-equity a favore di imprese attive nei settori dell’intelligenza artificiale, della cybersicurezza e del calcolo quantistico. È una scelta che segnala una volontà precisa: governare l’innovazione senza soffocarla, rafforzando al tempo stesso la competitività tecnologica nazionale.
Un punto particolarmente delicato riguarda la tutela dei minori e la protezione dei dati personali. L’articolo 4, comma 4, della Legge 132/2025 stabilisce che l’accesso ai sistemi di intelligenza artificiale da parte dei minori di quattordici anni, quando comporti il trattamento di dati personali, è subordinato al consenso di chi esercita la responsabilità genitoriale. La norma si coordina con l’articolo 8 del GDPR e con il Codice Privacy italiano, ma non si limita all’offerta di servizi della società dell’informazione: estende la logica del consenso genitoriale all’utilizzo dei sistemi di IA in quanto tali, rafforzando la protezione dei minori in un contesto tecnologico più ampio.
Resta infine aperto il grande cantiere normativo sull’addestramento dei sistemi di IA e sul trattamento dei dati personali, anche sensibili, per tali finalità. I futuri decreti delegati dovranno misurarsi con un equilibrio complesso: consentire lo sviluppo tecnologico e la ricerca, senza determinare un arretramento delle garanzie previste dal GDPR. È su questo terreno che i principi, facili da affermare nelle norme astratte, dovranno dimostrare di reggere alla vita concreta dei sistemi di intelligenza artificiale, già oggi capaci di incidere profondamente sui diritti e sulle prerogative delle persone.
© Canella Camaiora S.t.A. S.r.l. - Tutti i diritti riservati.
Data di pubblicazione: 12 Gennaio 2026
È consentita la riproduzione testuale dell’articolo, anche a fini commerciali, nei limiti del 15% della sua totalità a condizione che venga indicata chiaramente la fonte. In caso di riproduzione online, deve essere inserito un link all’articolo originale. La riproduzione o la parafrasi non autorizzata e senza indicazione della fonte sarà perseguita legalmente.
Arlo Canella
Managing & founding partner, avvocato del Foro di Milano e cassazionista, responsabile formazione e ricerca indipendente dello Studio CC®.